Thế giới ngày nay là thế giới của sự kết nối. Trong thế giới như vậy, việc thu thập, xử lý và chia sẻ dữ liệu cá nhân ngày càng trở nên phổ biến. Cùng với đó, mối lo ngại về vi phạm dữ liệu cá nhân và xâm phạm quyền riêng tư cũng ngày càng tăng. Các chính phủ trên toàn cầu đang thực hiện các biện pháp chủ động để bảo vệ dữ liệu cá nhân của mình và điều chỉnh hoạt động của các tổ chức liên quan đến xử lý dữ liệu cá nhân. Việt Nam không đứng ngoài làn sóng đó. Gần đây, chính phủ Việt Nam đã tạo ra một bước tiến pháp lý đột phá khi thông qua Nghị định 13/2023/NĐ-CP (“ Nghị định 13 ”) vào tháng 4 năm 2023. Nghị định này đánh dấu một cột mốc quan trọng khi lần đầu tiên giới thiệu một khung pháp lý toàn diện để giải quyết các vấn đề liên quan đến bảo vệ và xử lý dữ liệu cá nhân.
Quay lại vài năm trước, Quy định chung về bảo vệ dữ liệu riêng tư (“GDPR”) tại Liên minh châu Âu được ban hành đã thiết lập một tiêu chuẩn toàn cầu cho các quy định về quyền dữ liệu cá nhân. GDPR nhấn mạnh tầm quan trọng của việc có được sự đồng ý hợp lệ và có ý thức từ các chủ thể dữ liệu như một nguyên tắc cơ bản để xử lý dữ liệu hợp pháp. Sự đồng thuận “có ý thức” vốn là một khái niệm phổ biến trong lĩnh vực y khoa. Trong đó, sự đồng thuận này đòi hỏi người đồng thuận phải ở trong tình trạng tỉnh táo, được cung cấp đầy đủ thông tin về mục tiêu, quy trình, khả năng gây tác hại của việc đồng thuận của mình. GDPR cung cấp một khuôn khổ pháp lý toàn diện để đảm bảo tính minh bạch, công bằng và kiểm soát đối với dữ liệu cá nhân.
Trong bài viết này, chúng ta sẽ tìm hiểu các điều khoản chính của Nghị định 13 và GDPR liên quan đến các yêu cầu về sự đồng ý. Chúng tôi sẽ xem xét cách các quy định này đặt ra những thách thức mới đối với các doanh nghiệp trong việc thu thập và đảm bảo tính hợp lệ của sự đồng ý từ các chủ thể dữ liệu. Hơn nữa, chúng ta cũng sẽ thảo luận về tầm quan trọng của các quy định này trong việc bảo vệ quyền riêng tư cá nhân và thúc đẩy văn hóa bảo mật dữ liệu. Bằng cách hiểu các yêu cầu và ý nghĩa của sự đồng ý của chủ thể dữ liệu, doanh nghiệp có thể lựa chọn hướng đi đúng trong sự phức tạp của luật bảo mật dữ liệu cá nhân, tạo niềm tin với khách hàng và thiết lập các phương pháp xử lý dữ liệu có trách nhiệm.
Nghị định 13/2023/NĐ-CP: Sự chuyển mình về quyền dữ liệu cá nhân tại Việt Nam
Trước khi đưa ra các quy định về bảo mật dữ liệu cá nhân tại Nghị định 13, Việt Nam đã có một số quy định liên quan đến bảo vệ dữ liệu cá nhân nằm rải rác trong các văn bản pháp luật khác nhau. Các quy định này chủ yếu tập trung vào các lĩnh vực như ngân hàng, tài chính, viễn thông và thương mại điện tử. Tuy nhiên, chúng ta thiếu một khuôn khổ thống nhất và toàn diện để giải quyết các mối lo ngại về quyền với dữ liệu cá nhân trong bối cảnh phổ biến của công nghệ và internet.
Năm 2018, Việt Nam đã tiến một bước quan trọng khi ban hành Luật An toàn thông tin mạng, trong đó có các điều khoản liên quan đến bảo vệ thông tin cá nhân trên không gian mạng. Mặc dù đề cập đến một số khía cạnh nhất định của quyền với dữ liệu cá nhân, nhưng luật này chủ yếu nhằm đảm bảo an ninh mạng và không đề cập đến toàn bộ các vấn đề về bảo vệ dữ liệu cá nhân.
Cuối cùng, vào tháng 4 năm 2023, Việt Nam đã ban hành Nghị định 13/2023/NĐ-CP, một văn bản đột phá đưa ra khung pháp lý toàn diện dành riêng cho quyền dữ liệu cá nhân. Với việc ban hành Nghị định 13/2023/NĐ-CP, Việt Nam đã trở thành một trong các quốc gia tích cực giải quyết các vấn đề về quyền dữ liệu cá nhân và tuân thủ các tiêu chuẩn bảo vệ dữ liệu toàn cầu. Bằng cách thiết lập một khung pháp lý toàn diện, Việt Nam đang thực hiện các biện pháp chủ động để đảm bảo rằng dữ liệu cá nhân được xử lý một cách an toàn và có trách nhiệm, từ đó thúc đẩy một môi trường thuận lợi cho tiến trình số hóa và tăng trưởng bền vững.
Sự đồng ý của chủ thể dữ liệu theo Nghị định 13
Mặc dù Luật An toàn thông tin mạng năm 2015 (Luật An toàn thông tin mạng) đề cập ngắn gọn về sự đồng ý của cá nhân trong xử lý dữ liệu, nhưng quy định này khá rộng, thiếu sự rõ ràng và cụ thể. Theo Luật An toàn thông tin mạng, các tổ chức và cá nhân xử lý thông tin cá nhân phải được sự đồng ý của chủ thể dữ liệu về mục đích và phạm vi thu thập và sử dụng dữ liệu. Tuy nhiên, luật thiếu các hướng dẫn rõ ràng về hình thức, nội dung và ý nghĩa của sự đồng ý, dẫn đến sự mơ hồ và hiểu không chính xác cho các đối tượng xử lý dữ liệu. Luật An toàn thông tin mạng còn bỏ ngõ vấn đề về việc liệu sự im lặng có được coi là sự đồng ý hay không.
Nghị định 13 đã khắc phục những lỗ hổng này và đưa ra các quy định rõ ràng về sự đồng ý. Đặc biệt:
- Nghị định 13 đã xác định các yếu tố cần thiết của sự đồng ý hợp lệ, nhấn mạnh tính chất tự nguyện và có sự hiểu rõ của chủ thể dữ liệu. Những bước tiến đáng chú ý bao gồm:
- Nội dung đồng ý: Nghị định 13 quy định chủ thể dữ liệu phải được thông báo về loại dữ liệu cá nhân đang được xử lý, mục đích xử lý, tổ chức, cá nhân tham gia xử lý dữ liệu, quyền và nghĩa vụ của chủ thể dữ liệu.
- Hình thức đồng ý: Nghị định quy định rằng sự đồng ý phải được thể hiện rõ ràng và cụ thể, dưới dạng văn bản, giọng nói, thông qua phương tiện điện tử hoặc các hành động có thể chứng minh khác biểu thị sự đồng ý.
- Im lặng không phải là đồng ý: Nghị định 13 quy định rõ ràng rằng im lặng hoặc không trả lời không thể được coi là đồng ý. Điều khoản này thiết lập một tiêu chuẩn cao hơn cho sự đồng ý, đảm bảo rằng các cá nhân chủ động và có ý thức đưa ra sự đồng ý của họ.
- Thông báo dữ liệu nhạy cảm: Nghị định 13 cũng yêu cầu chủ thể dữ liệu phải được thông báo khi xử lý liên quan đến dữ liệu cá nhân nhạy cảm, đảm bảo các cá nhân biết rằng thông tin nhạy cảm đang được xử lý.
- Nghĩa vụ chứng minh: Nghị định 13 đặt nghĩa vụ chứng minh lên Bên kiểm soát dữ liệu, Bên kiểm soát và xử lý dữ liệu cá nhân. Nghị định 13 nhấn mạnh trách nhiệm của họ trong việc chứng minh rằng đã có được sự đồng ý hợp lệ. Điều khoản này nâng cao trách nhiệm giải trình và khuyến khích các tổ chức thực hiện các phương pháp có được và quản lý sự đồng ý của chủ thể dữ liệu.
Nghị định 13 cũng lần đầu tiên quy định quyền rút lại sự đồng ý của chủ thể dữ liệu. Điều này đảm bảo rằng các cá nhân có quyền kiểm soát dữ liệu cá nhân của họ bằng cách rút lại sự đồng ý của họ. Việc rút lại sự đồng ý được tôn trọng và không làm mất hiệu lực quá trình xử lý dữ liệu hợp pháp trước đó. Nghị định cũng nhấn mạnh sự cần thiết phải thông báo và thông báo rõ ràng cho chủ thể dữ liệu về những hậu quả tiềm ẩn của việc rút lại sự đồng ý. Sau khi rút lại sự đồng ý, tất cả các bên liên quan phải ngừng xử lý dữ liệu ngay lập tức, đảm bảo tuân thủ quyết định của chủ thể dữ liệu. Các biện pháp này thúc đẩy tính minh bạch, trách nhiệm giải trình và tôn trọng quyền của các cá nhân trong việc xác định cách dữ liệu cá nhân của họ được sử dụng và xử lý.
So sánh với “sự đồng ý” theo GDPR của EU
Khi so sánh quy định về “sự đồng ý” trong Nghị định 13 với quy định trong Quy định chung về bảo vệ dữ liệu riêng tư (GDPR) của EU, chúng ta có thể nhận thấy những điểm tương đồng trong việc nhấn mạnh vào hình thức và yêu cầu của sự đồng ý. Cả hai quy định đều nhằm mục đích đảm bảo rằng có được sự đồng ý một cách rõ ràng và cụ thể.
GDPR quy định rằng sự đồng ý phải được đưa ra một cách tự do, cụ thể, có ý thức và rõ ràng, ví dụ như một tuyên bố bằng văn bản (bao gồm cả các phương tiện điện tử) hoặc một tuyên bố bằng lời nói. GDPR cũng nhấn mạnh rằng sự im lặng, ô đã đánh dấu hoặc không phản hồi không cấu thành sự đồng ý hợp lệ.
Mặt khác, Nghị định 13 quy định rằng sự đồng ý phải được thể hiện rõ ràng và cụ thể thông qua nhiều phương tiện, bao gồm hình thức bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, thiết lập kỹ thuận đồng ý hoặc thông qua các hành động khác thể hiện sự đồng ý. Điều này bao gồm việc cung cấp sự đồng ý qua tin nhắn văn bản hoặc các định dạng khác có thể được in, sao chép bằng văn bản hoặc xác minh điện tử. Mặc dù cả hai quy định đều có chung mục tiêu là đảm bảo rằng sự đồng ý rõ ràng, cụ thể và được đưa ra một cách tự do, nhưng Nghị định 13 cung cấp một danh sách các hình thức đồng ý đa dạng hơn, bao gồm các tham chiếu cụ thể đến cú pháp đồng ý qua tin nhắn hoặc chọn các thiết lập kỹ thuật đồng ý.
Xử lý dữ liệu mà không cần có sự đồng ý của chủ thể dữ liệu
Nghị định 13 quy định một số trường hợp có thể thực hiện xử lý dữ liệu mà không có sự đồng ý của chủ thể dữ liệu:
- Trong các trường hợp khẩn cấp, khi việc xử lý là cần thiết để bảo vệ tính mạng và sức khỏe của chủ thể dữ liệu hoặc những người khác.
- Tiết lộ công khai dữ liệu cá nhân theo yêu cầu của pháp luật.
- Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp cấp thiết liên quan đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, thiên tai, dịch bệnh nguy hiểm hoặc khi có nguy cơ ảnh hưởng đến an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp. Điều này bao gồm phòng ngừa và kiểm soát bạo loạn, khủng bố, tội phạm và vi phạm pháp luật theo quy định của pháp luật.
- Thực hiện các nghĩa vụ theo hợp đồng giữa chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của pháp luật.
- Phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật chuyên ngành.
Trong những trường hợp này, các quy định thừa nhận sự cần thiết phải xử lý dữ liệu cá nhân mà không có sự đồng ý rõ ràng để bảo vệ lợi ích thiết yếu, duy trì lợi ích công cộng hoặc thực hiện nghĩa vụ pháp lý. Những ngoại lệ này đảm bảo sự cân bằng giữa bảo vệ quyền riêng tư và lợi ích hoặc nghĩa vụ hợp pháp phục vụ hạnh phúc của cá nhân và xã hội. Tuy nhiên, các quy định ngoại lệ này của Nghị định 13 chưa thật sự rõ ràng về định nghĩa các trường hợp, giới hạn xử lý và cơ quan có thẩm quyền xác định trường hợp ngoại lệ. Từ đó, dễ dẫn đến việc lạm dụng các quy định về ngoại lệ để xâm phạm dữ liệu cá nhân.
Về mặt này, GDPR cung cấp các điều khoản chi tiết hơn về các trường hợp và điều kiện mà dữ liệu có thể được xử lý mà không cần sự đồng ý của chủ thể dữ liệu so với Nghị định 13. Điều 6 của GDPR nêu rõ các cơ sở pháp lý để xử lý dữ liệu cá nhân mà không cần sự đồng ý rõ ràng. Điều này bao gồm quá trình xử lý cần thiết để thực hiện hợp đồng, tuân thủ nghĩa vụ pháp lý, bảo vệ lợi ích thiết yếu, nhiệm vụ được thực hiện vì lợi ích công cộng.
Đảm bảo sự đồng ý hợp lệ và có hiệu lực: Những lưu ý quan trọng cho doanh nghiệp Việt Nam
Khi tìm kiếm và thu thập sự đồng ý của chủ thể dữ liệu theo quy định của Nghị định 13 (và GDPR trong một số trường hợp), doanh nghiệp cần cân nhắc và thực hiện những điều sau để đảm bảo sự đồng ý của chủ thể dữ liệu có hiệu lực:
- Minh bạch và rõ ràng: Doanh nghiệp nên cung cấp thông tin toàn diện, dễ hiểu và rõ ràng về việc xử lý dữ liệu cá nhân cho chủ thể dữ liệu. Điều này bao gồm mục đích, phạm vi và thời gian xử lý, tổ chức hoặc cá nhân xử lý dữ liệu cũng như quyền và nghĩa vụ của chủ thể dữ liệu.
- Sự tự nguyện: Sự đồng ý phải được đưa ra một cách tự nguyện, không bị ép buộc hoặc đính kèm các điều kiện. Doanh nghiệp không được áp đặt, lừa dối để nhận được sự đồng ý của chủ thể dữ liệu.
- Phải cụ thể và có đầy đủ thông tin: Doanh nghiệp cần đảm bảo rằng chủ thể dữ liệu được thông báo đầy đủ về các loại dữ liệu cá nhân đang được xử lý, mục đích xử lý, tổ chức hoặc cá nhân xử lý dữ liệu cũng như quyền và nghĩa vụ của chủ thể dữ liệu.
- Không gây hiểu lầm: Sự đồng ý phải rõ ràng, không có chỗ cho sự hiểu lầm. Các doanh nghiệp nên sử dụng các phương pháp rõ ràng như bằng văn bản, đánh dấu vào ô để đảm bảo rằng các chủ thể dữ liệu hiểu và thể hiện sự đồng ý của họ một cách rõ ràng.
- Không dựa vào sự im lặng hoặc không phản hồi: Các doanh nghiệp không nên dựa vào sự im lặng hoặc không phản hồi để ngầm hiểu rằng đã có được sự đồng ý. Điều cần thiết đối với các doanh nghiệp là đảm bảo rằng các chủ thể dữ liệu thực hiện hành động mang tính khẳng định để thể hiện sự đồng ý của họ, chẳng hạn như đánh dấu vào ô, chọn một tùy chọn hoặc đưa ra tuyên bố rõ ràng. Yêu cầu này nhấn mạnh tầm quan trọng của sự đồng ý tự nguyện và có ý thức, trong đó chủ thể dữ liệu có cơ hội thực hiện quyền kiểm soát dữ liệu cá nhân của họ và đưa ra các lựa chọn có ý thức về việc xử lý dữ liệu.
- Có thể truy xuất: Sự đồng ý của chủ thể dữ liệu phải được lưu trữ và có thể truy xuất được. Các doanh nghiệp cần thiết kế các quy trình và hệ thống để lưu trữ và quản lý thông tin về sự đồng ý của chủ thể dữ liệu.
- Có thể hủy bỏ: Các doanh nghiệp nên đảm bảo rằng chủ thể dữ liệu có quyền dễ dàng rút lại sự đồng ý của họ. Thông tin và quy trình rõ ràng phải được cung cấp cho chủ thể dữ liệu để rút lại sự đồng ý và ngừng xử lý dữ liệu cá nhân của họ.
Tóm lại
Phân tích ở trên nêu bật những yêu cầu mới và thách thức do Nghị định 13 và GDPR đặt ra đối với các doanh nghiệp để có được sự đồng ý hợp lệ từ các chủ thể dữ liệu. Các quy định này nhấn mạnh tầm quan trọng của tính minh bạch, rõ ràng và đưa ra quyết định có ý thức khi xử lý dữ liệu cá nhân. Các quy định này nhằm mục đích trao quyền cho các cá nhân để kiểm soát tốt hơn đối với dữ liệu của họ và đảm bảo rằng quyền riêng tư của họ được tôn trọng.
Tuy nhiên, tuân thủ các yêu cầu này là một hành trình liên tục đòi hỏi các doanh nghiệp phải xem xét cẩn thận các điều khoản cụ thể cũng như thực hiện các biện pháp một cách sáng tạo nhưng cẩn trọng. Các doanh nghiệp phải đầu tư vào việc phát triển các quy trình thu thập sự đồng ý một cách minh bạch và thân thiện với người dùng.
Hơn nữa, khi công nghệ và thực tiễn về dữ liệu tiếp tục phát triển, các quy định này có thể được tiếp tục điều chỉnh trong tương lai. Điều này nhấn mạnh sự cần thiết phải liên tục theo dõi, điều chỉnh và sàng lọc “các chính sách về dữ liệu” trong các tổ chức.
Cuối cùng, bằng cách ưu tiên các nguyên tắc minh bạch, công bằng và quyền tự chủ cá nhân, các doanh nghiệp không chỉ có thể đáp ứng các nghĩa vụ theo quy định mà còn tạo dựng niềm tin với khách hàng và thúc đẩy văn hóa bảo mật dữ liệu. Các doanh nghiệp có thể tạo ra một con đường hướng tới việc xử lý dữ liệu có trách nhiệm và đóng góp vào một hệ sinh thái kỹ thuật số có ý thức về quyền riêng tư hơn.
Khi các doanh nghiệp tiếp tục thích ứng với bối cảnh đang phát triển của quyền về dữ liệu cá nhân, việc duy trì cách tiếp cận lấy khách hàng làm trung tâm và cam kết xử lý dữ liệu có trách nhiệm sẽ là công cụ giúp xây dựng thành công bền vững và niềm tin trong thời đại kỹ thuật số.
Khuyến cáo:
Bài viết này chỉ nhằm mục đích cung cấp các thông tin chung và không nhằm cung cấp bất kỳ ý kiến tư vấn pháp lý cho bất kỳ trường hợp cụ thể nào. Các quy định pháp luật được dẫn chiếu trong nội dung bài viết có hiệu lực vào thời điểm đăng tải bài viết nhưng có thể đã hết hiệu lực tại thời điểm bạn đọc. Do đó, chúng tôi khuyến nghị bạn luôn tham khảo ý kiến của chuyên gia trước khi áp dụng.
Các vấn đề liên quan đến nội dung hoặc quyền sở hữu trí tuệ của bài viết, vui lòng gửi email đến cs@apolatlegal.vn.
Apolat Legal là một công ty luật tại Việt Nam có kinh nghiệm và năng lực cung cấp các dịch vụ tư vấn liên quan đến Sở hữu trí tuệ. Vui lòng tham khảo về dịch vụ của chúng tôi Sở hữu trí tuệ và liên hệ với đội ngũ luật sư tại Việt Nam của chúng tôi thông qua email info@apolatlegal.com.